phptlsv1协议,⼀篇⽂章让你彻底弄懂SSLTLS协议
接下来我们⼀步步的介绍每⼀步的含义:
1.client hello
客户端向服务器端发送⼀个client hello的消息,包含下⾯内容:
可⽤版本号
当前时间
客户端随机数
会话ID
可⽤的密码套件清单
可⽤的压缩⽅式清单
我们之前提到了TLS其实是⼀套加密框架,其中的有些组件其实是可以替换的,这⾥可⽤版本号,可⽤的密码套件清单,可⽤的压缩⽅式清单就是向服务器询问对⽅⽀持哪些服务。
客户端随机数是⼀个由客户端⽣成的随机数,⽤来⽣成对称密钥。
2.server hello
服务器端收到client hello消息后,会向客户端返回⼀个server hello消息,包含如下内容:
使⽤的版本号
当前时间
服务器随机数
会话ID
使⽤的密码套件
使⽤的压缩⽅式
使⽤的版本号,使⽤的密码套件,使⽤的压缩⽅式是对步骤1的回答。
服务器随机数是⼀个由服务器端⽣成的随机数,⽤来⽣成对称密钥。
3.可选步骤:certificate
服务器端发送⾃⼰的证书清单,因为证书可能是层级结构的,所以处理服务器⾃⼰的证书之外,还需要发送为服务器签名的证书。
客户端将会对服务器端的证书进⾏验证。如果是以匿名的⽅式通信则不需要证书。
4.可选步骤:ServerKeyExchange
如果第三步的证书信息不⾜,则可以发送ServerKeyExchange⽤来构建加密通道。
ServerKeyExchange的内容可能包含两种形式:
如果选择的是RSA协议,那么传递的就是RSA构建公钥密码的参数(E,N)。我们回想⼀下RSA中构建公钥的公式:密⽂=明⽂^E\ mod\ N 密⽂=明⽂E mod N, 只要知道了E和N,那么就知道了RSA的公钥,这⾥传递的就是E,N两个数字。
如果选择的是Diff-Hellman密钥交换协议,那么传递的就是密钥交换的参数.
ssl协议全称
5.可选步骤:CertificateRequest
如果是在⼀个受限访问的环境,⽐如fabric中,服务器端也需要向客户端索要证书。
如果并不需要客户端认证,则不需要此步骤。
6.server hello done
服务器端发送server hello done的消息告诉客户端⾃⼰的消息结束了。
7.可选步骤:Certificate
对步骤5的回应,客户端发送客户端证书给服务器
8.ClientKeyExchange
还是分两种情况:
如果是公钥或者RSA模式情况下,客户端将根据客户端⽣成的随机数和服务器端⽣成的随机数,⽣成预备主密码,通过该公钥进⾏加密,返送给服务器端。
如果使⽤的是Diff-Hellman密钥交换协议,则客户端会发送⾃⼰这⼀⽅要⽣成Diff-Hellman密钥⽽需要公开的值。具体内容可以参考更加安全的密钥⽣成⽅法Diffie-Hellman,这样服务器端可以根据这个公开值
计算出预备主密码。
9.可选步骤:CertificateVerify
客户端向服务器端证明⾃⼰是客户端证书的持有者。
10.ChangeCipherSpec(准备切换密码)
ChangeCipherSpec是密码规格变更协议的消息,表⽰后⾯的消息将会以前⾯协商过的密钥进⾏加密。
11.finished(握⼿协议结束)
客户端告诉服务器端握⼿协议结束了。
12.ChangeCipherSpec(准备切换密码)
服务器端告诉客户端⾃⼰要切换密码了。
13.finished(握⼿协议结束)
服务器端告诉客户端,握⼿协议结束了。
14.切换到应⽤数据协议
这之后服务器和客户端就是以加密的⽅式进⾏沟通了。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。